《信息安全技术公钥基础设施远程口令鉴别与密钥建立规范(GB-T 32213-2015).docx》由会员分享,可在线阅读,更多相关《信息安全技术公钥基础设施远程口令鉴别与密钥建立规范(GB-T 32213-2015).docx(47页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、ICS35.040L80中华人民共和国国家标准GB/T XXXXXXXXX信息安全技术 公钥基础设施远程口令鉴别与密钥建立规范Information security technology Public key infrastructure Specification for remote password authentication and key establishment点击此处添加与国际标准一致性程度的标识本稿完成日期:2013年 7月25日)在提交反馈意见时,请将您知道的相关专利连同支持性文件一并附上XXXX - XX - XX发布XXXX - XX - XX实施GB/T XXXX
2、XXXXX目次前言III引言IV1范围12规范性引用文件13术语和定义14缩略语25符号36文档约定46.1括号46.2步骤与顺序46.3方法参数46.4参与方47数学定义47.1群运算57.2离散对数体制57.3椭圆曲线体制58模型68.1概述68.2原语68.3方案78.4密码函数89原语89.1概述89.2数据类型转换原语89.3口令相关公开密钥生成原语99.4公开密钥生成原语119.5口令验证数据生成原语129.6随机元素生成原语149.7秘密值生成原语169.8密钥检索原语2110口令鉴别密钥建立方案2210.1BPKAS-12210.2BPKAS-22410.3BPKAS-3251
3、0.4APKAS-12710.5DLAPKAS-2,DLAPKAS-32910.6ECAPKAS-43010.7APKAS-53210.8APKAS-63410.9APKAS-73510.10PKRS-13711密码函数3811.1散列函数3811.2掩码生成函数3811.3密钥证实函数3911.4乘法元生成函数40参考文献41前言本标准按照GB/T 1.12009给出的规则起草。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:中国科学院软件研究所、中国科学院研究生院、中国电子技术标准化研究院。本标准主要起草人:张立武、冯登国、张振峰、高志刚、荆继武、张严
4、、王鹏翩、李强、段美姣、高能、陈星。引言目前,基于口令的实体鉴别技术是应用最广泛的鉴别技术,并且可以预见在未来的相当长时间内还将作为一种重要的鉴别技术存在。这一方面是由于口令容易记忆、不需要额外的载体,使用方便,另一方面也由于基于口令的鉴别协议简单高效,适用于用户量巨大的信息系统。然而,由于口令一般由可打印的ASCII字符组成,选择空间较小,所以容易受到主动或是被动攻击。更为不利的因素是人通常会选择能方便记忆且易于使用的具有特定意义的单词或者词组作为口令,更容易遭受字典式攻击的影响。因此,在构建基于口令的鉴别系统时选择安全的口令鉴别协议变得尤为重要。非对称密码学的发展为基于口令的身份鉴别和密钥
5、建立协议的构造提供了一个新的技术。结合使用非对称密码学和口令可以构造更安全的身份鉴别与密钥协商协议,并提供抵抗离线蛮力攻击、抵抗字典式攻击和前向安全性等更多安全性质。本标准选取了10个国际上经过广泛理论分析和应用验证的该类协议,定义了这些协议的数学基础、协议流程,为基于口令的鉴别系统的设计和开发提供了参考。IIIGB/T XXXXXXXXX信息安全技术 公钥基础设施远程口令鉴别与密钥建立规范1 范围本标准定义了11个采用非对称密码技术构造的安全远程口令鉴别和密钥建立协议的数学基础和具体构造。本标准适用于采用基于口令鉴别技术的鉴别系统的设计和开发。2 规范性引用文件下列文件对于本文件的应用是必不
6、可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 18238.3-2003 信息技术安全技术散列函数第3部分:专用散列函数GB/T 25069-2010 信息安全技术术语3 术语和定义GB/T 25069-2010界定的以及下列术语和定义适用于本文件。3.1口令穷举/蛮力攻击 password exhaustive attack/brute-force attack通过尝试口令所有可能的值,以获取实际口令,并实施违反信息安全策略的行为。3.2口令破解 password crack成功的穷举/蛮力攻击口令及口
7、令相关秘密数据或者成功攻击一个基于口令的密码系统。3.3交互式证明interactive proof一种通过信息交换,证明者向验证者证明它拥有某个共享的秘密的协议。参与协议的两方共享输入值,通过交换信息最终验证者根据共享的输入值和交换的数据决定是否接受证明者的证明。3.4多重散列 iterated hash重复多次使用散列函数对输入进行散列计算的方法,典型的应用是用来增加口令破解的计算难度。3.5低等级口令low grade password易于受口令穷举/蛮力攻击的口令。3.6连带口令公开密钥password-entangled public key从某一实体的口令和私有密钥计算得出的公开密
8、钥。3.7口令限制私有密钥 password limited private key从某一实体的口令计算得到的私钥密钥,该私钥密钥的随机性完全来自于口令,并且其随机性受口令随机性的限制。3.8口令限制公开密钥password-limited public key使用公开密钥生成方法从口令限制私有密钥生成的用于验证口令正确性的数据。3.9口令验证者password verifier在一个口令证明系统中作为验证者的参与方。4 缩略语下列缩略语适用于本文件。APKAS 扩展口令鉴别密钥协商方案(agumented password-authenticated key agreement)BPKAS
9、平衡口令鉴别密钥协商方案(balance passwordauthenticated key agreement)CLIENT 客户,一般指代在通信参与方的发起者DL 离散对数(discrete logarithm)EC 椭圆曲线(eclipse curve)GE2FEP 群元素到域元素值转换原语(group element to field element conversion primitive)GE2OSP 群元素到八位位组串转换原语(group element to octet string conversion primitive)FE2OSP 域元素到八位位组串转换原语(field
10、 element to octet string conversion primitive)I2FEP 整数到有限域元素转换原语(integer to field element conversion primitive)I2OSP 整数到八位位组串转换原语(integer to octet string conversion primitive)KCF 密钥证实函数(key confirmation function)KDF 密钥导出函数(key derivation function)KRBP 密钥检索盲化原语(key retrieval blinding primitive)KRPP 密
11、钥检索置换原语(key retrieval permutation primitive)KRUP 密钥检索解盲化原语(key retrieval unblinding primitive)MGF 掩码生成函数(mask generation function)MVCF 多重值产生函数(multiplier value creation function)OS2IP 八位位组串到整数转换原语(octet string to integer conversion primitive)PEPKGP 连带口令公开密钥导出原语(password-entangled PKGP)PKAS 口令鉴别密钥协商方
12、案(password-authenticated key agreement scheme)PKGP 公开密钥生成原语(public key generation primitive)PKRS 口令鉴别密钥检索方案(password-authenticated key retrieval scheme)PVDGP 口令验证数据生成原语(password verification data generation primitive)REDP 随机元素导出原语(random element derivation primitive)SERVER 服务器,一般指代在通信参与方中的响应者SRP 安全远
13、程口令(secure remote password)SVDP 秘密值导出原语(secret value derivation primitive)5 符号下列符号适用于本文件。a,b 有限域GF(q)的元素,是定义椭圆曲线E的两个系数。E 由a,b定义的,定义在有限域GF(q)上的椭圆曲线。e,e1,e2 群或有限域上的元素。error 出错。在本标准中如果某个原语或者函数输出error,表示该原语或者函数执行过程中出错,不能得到预期结果。GF (q) 一个阶为q的有限域。G 椭圆曲线E上阶为r的点,该点可以生成一个阶为r的子群。g 有限域GF(q)上的阶为r的乘法子群的一个生成元,用来定义
14、离散对数域参数。hash 散列函数。hex 十六进制编码函数,把输入的八位位组串编码成十六进制串。K 协议生成的由两个参与方共享的密钥。k 在离散对数体制中等于(q-1)/r,用来定义离散对数域参数;在椭圆曲线体制中等于#E/r,用来定义椭圆曲线域参数。log 对数运算符。M 消息,一般为八位位组串。mod 求余操作。N 自然数,非负整数。P,Q 一般指代椭圆曲线上的点。q 正整数,一般用来表示有限域的阶。r 在离散对数体制中为q-1的素因子,用来定义离散对数域参数;在椭圆曲线体制中为#E的素因子,用来定义椭圆曲线域参数。s, u, s, u 某一实体的私有密钥组,一般是正整数。w, v, w
15、, v 某一实体的公开密钥组,一般为GF(q) 上的元素。valid,invalid 有效,无效。在本标准中表示输出结果是否是有效的,如果协议的输出是invalid,则表示协议执行出错,不能继续执行后续操作。xe 椭圆曲线上的点对应的横坐标。ye 椭圆曲线上的点对应的纵坐标。z, z1, z2 共享秘密值,为GF (q) 上的元素,由秘密值生成原语生成。(c,d) 数字签名对,一对整数,通过一个签名原语产生。(s, w), (u, v) 椭圆曲线密钥对,其中s和u是私有密钥,w和v是公开密钥。+ 加法操作符。例如P+Q表示椭圆曲线上的点P和点Q相加。 标量乘法操作符,表示一个域元素P和一个整数
16、n的标量乘法。例如nP,也可以省略,记作nP。/ 除法操作符。* 群或者域中的乘法操作符。例如e1*e2表示在群元素e1和e2间应用群运算。 指数运算符,表示对*操作符的迭代。例如en表示对群元素e进行n次迭代操作e*e*e,其中n必须为正整数,也可省略,记做en。| 八位位组串的连接操作符。 求和操作符。 比特向右移位操作符。x,y 大于或等于x且小于或等于y的整数的集合。 顶函数,大于或者等于x的最小整数。6 文档约定6.1 括号a) 描述了两个或者多个相关的但运行在不同的上下文环境中的方法,如下所示:1) DL,EC用来描述使用离散对数和椭圆曲线的方法;2) CLIENT,SERVER用
17、来描述在两方客户/服务器方案中使用的成对方法;3) DL,ECPKAS-PAK-CLIENT,SERVER相当于DLPKAS-PAK-CLIENT, DLPKAS-PAK-SERVER, ECPKAS-PAK-CLIENT, ECPKAS-PAK-SERVER 。b) 使用方括号限定的方法表示仅使用于该情况,如DL表示仅适用于离散对数体制的方法。6.2 步骤与顺序本标准中所描述的包含有序的步骤序列的方法,一般可以在保证结果相同的情况下以任意的顺序执行。但包含子步骤的步骤,所有的子步骤必须在父步骤完成之前完成。“输出信息并停止”步骤用来限制敏感信息的泄露。这些步骤必须按照本标准指出的顺序执行并在
18、输出信息后结束方法的执行。6.3 方法参数本标准中的许多方法通过选择输入域参数,函数和相关的值进行初始化。这些参数通常认为是调用方案的选项。因此,两个参与方要使用一个方法成功交互,必须为该方法传入相同的方案选项或者参数。6.4 参与方本标准中定义的远程口令鉴别密钥建立协议采用客户和服务器指代参与协议运行的两个实体,其中客户指代协议的发起者,服务器指代协议的响应者。客户和服务器仅是从逻辑上区分协议参与方。一个实体既可以作为客户参与协议,也可以作为服务器参与协议。7 数学定义注: 本章中的群运算、离散对数体制和椭圆曲线体制定义是参照IEEE P1363-2000中第5章和IEEE P1363.a-
19、2004中第5章定义,详见参考文献9,10。7.1 群运算为了统一对工作在多种设置下的方法的描述,本标准提供了对可能工作在离散对数设置和椭圆曲线设置下方法的通用描述。在这些描述中,采用小写字母表示群中的元素。对于仅具有一种运算的群,尽管离散对数和椭圆曲线体制中群操作和群元素都不相同,但操作符“*”和“”被用来描述两种体制下相通的操作。7.2 离散对数体制7.2.1 离散对数域参数每个离散对数原语和方案都需要用到离散对数域参数,它是每一个离散对数密钥隐含的组成部分。离散对数域应指定以下参数:a) 一个有限域GF (q),其中q可以取值为一个正的奇整数p、2m(m为正整数)、pm(p为奇素数,m为
20、正整数且m2);b) 一个整除q-1的正素数rc) 有限域GF (q)的一个r阶子群的生成元g;若q= 2m,则应同时指定以下参数:d) 一个有限域GF (q) 上元素的表示,用于9.2中数据类型转换原语中;e) 余因子k = (q-1)/r。7.2.2 离散对数密钥对对于给定的离散对数域参数,一对离散对数密钥对包含一个离散对数私有密钥s和一个离散对数公开密钥w,其中s为1, r-1之间的整数,w为有限域GF (q)上的元素且w =gs。为保证离散对数私有密钥的安全性,其生成应当是不可预测的,其存储应当不被敌手获取。离散对数密钥对与生成它的域参数密切相关,而且只能用于该域参数的上下文中。一个密
21、钥对不应当用于除生成其的域参数之外的域参数环境中。一组域参数可能被多个密钥对共享。离散对数密钥对不一定由使用它的参与方生成,这取决于信任模型。密钥管理方案中参与方建立的离散对数密钥可能符合密钥的一般形式,但却并不满足密钥的定义,这取决于所采用的密钥管理技术。因此,本文件中“离散对数公开密钥”及“离散对数私有密钥”表示符合一般形式的密钥,而“有效离散对数公开密钥”及“有效离散对数私有密钥”则表示满足定义的密钥。密钥确认是决定一个密钥是否为“有效”的过程。7.3 椭圆曲线体制7.3.1 椭圆曲线域参数每个椭圆曲线原语和方案都需要用到椭圆曲线域参数,它是每一个椭圆曲线密钥隐含的组成部分。椭圆曲线域应
22、指定以下参数:a) 一个有限域GF (q),其中q是一个正奇素数p,或者2m(m为正整数);b) 两个有限域GF (q)中的元素a和b,它们是定义椭圆曲线E的系数;c) 一个能整除椭圆曲线E上点数量的正素数r;d) 一个阶为r的点G,该点也成为它生成的子群的生成元;若q= 2m,则应同时指定以下参数:e) 一个有限域GF (q) 上元素的表示,用于9.2数据类型转换原语中。同时,上述参数隐含定义了余因子k =#E/r。7.3.2 椭圆曲线密钥对对于给定的椭圆曲线域参数,一对椭圆曲线密钥对包含一个椭圆曲线私有密钥s和一个椭圆曲线公开密钥W,其中s为1, r-1之间的整数,W为椭圆曲线E上的点,且
23、W =sG。为保证椭圆曲线私有密钥的安全性,其生成应当是不可预测的,其存储应当不能被敌手获取。椭圆曲线密钥对与生成它的域参数密切相关,而且只能用于该域参数的上下文中。一个密钥对不应当用于其被生成的域参数之外的域参数环境中。一组域参数可能被多个密钥对共享。椭圆曲线密钥对不一定由使用它的参与方生成,这取决于信任模型。参与方建立椭圆曲线密钥对是方案中密钥管理的一部分内容。可能会存在参与方建立的椭圆曲线密钥对符合密钥的一般形式,但却并不满足所希望的密钥定义,这取决于所采用的密钥管理技术。因此,本文件中“椭圆曲线公开密钥”及“椭圆曲线私有密钥”表示符合一般形式的密钥,而“有效椭圆曲线公开密钥”及“有效椭
24、圆曲线私有密钥”则表示满足定义的密钥。密钥确认是决定一个密钥是否为“有效”的过程。8 模型8.1 概述本标准的目的在于为采用基于口令身份鉴别技术的鉴别系统提供一些安全的基于非对称密码技术的口令鉴别和密钥建立协议的选择。因此,在一个通用的、允许不同安全需求和不同应用需求的鉴别系统选择合适的协议的框架下描述这些安全协议是有意义的。本标准中的安全协议可以抽象地理解为由原语、方案和密码函数构成。原语是具有原子性的方法,提供确定的功能,是构建方案的基础。部分原语具有基于数论上的困难问题的安全性。 方案是由一系列原语、密码函数构成的集合,提供基于复杂性理论的安全性。密码函数提供特定密码学功能的函数,包括密
25、钥产生函数、散列函数、密钥证实函数等。从实现的观点看,这里定义的原语可以看作是底层的实现,方案和密码函数可以看作中层实现,协议可以看作高层或者称为应用层的实现。8.2 原语本标准中原语被描述成数学操作,它们本身并不提供安全上的保证。这样的安全性只有当使用这些原语和其他操作构成协议时才能提供。原语假设它们的输入符合某些假设,这些假设会在描述原语时列出。只要输入不影响原语实现的进一步操作,原语的实现不强制约束输入必须符合假设;实现可以输出也可以不输出一个出错信息的情况。例如:一个公开密钥产生原语当输入不符合假设时,可以输出一个看起来像是公钥的输出,也可以拒绝输出。这需要原语的使用者来验证输入是否符
26、合前提假设,例如,用户可以选择使用相关的密钥和域参数验证技术。一个标准的原语描述由以下几部分组成:a) 原语的输入;b) 原语执行操作的描述中关于输入的假设;c) 原语的输出;d) 原语执行的操作(操作用一系列的步骤进行描述);e) 一致性建议。描述为了符合原语操作,实现应该操作的最小建议输入集合。原语规范是功能性规范,而不是接口规范。输入、输出的格式和实现的过程超出了本标准的范围。8.3 方案口令鉴别与密钥建立方案和一般鉴别与密钥建立方案的主要不同在于证明参与方身份的秘密是一个或者多个预先分发的秘密是低等级口令。当口令用来进行双向鉴别时,通常被当作共享的秘密,而不是静态的公钥和私钥。在这些方
27、案中代表一个基于口令的秘密值。本标准中的方案采用基于一定原语和密码函数的通用形式进行描述。例如一个口令鉴别密钥协商方案可以是基于一个公开密钥生成原语、一个秘密值生成原语和一个密钥生成原语。方案也包括密钥管理操作,例如选择一个私钥或者获取其它参与方的公钥。为了安全性,参与方应该保证密钥和域参数的有效性,其生成过程的正确性也需要得到保证,因此合适的密钥管理可能是必须的,但是超出了本标准的范围。方案的规范描述由以下几部分组成:a) 方案选项:方案中使用到的原语和密码函数等;b) 操作:鉴别协议按照一定顺序执行的步骤;c) 一致性建议:为了保证具体的实现和协议相符合而提供的建议。8.3.1 口令鉴别密
28、钥协商方案在口令鉴别密钥协商方案中,每一参与方使用他自己的基于口令的值和私钥与其他参与方的公开密钥一起产生一个或者多个密钥。其它参与方共享的信息则作为方案的密钥产生参数。如果参与方使用相关的口令,密钥和一致的密钥产生参数,并且方案正确的完成,则参与方就能得到相同的私有密钥。口令鉴别密钥协商方案允许参与方在仅仅共享基于口令值的情况下产生相同的私有密钥,并且保证没有口令相关值的实体不能成功的参与该协议。协议参与方客户和服务器执行本标准定义的密钥协商操作服务器产生共享的私有密钥。每一个口令鉴别密钥协商方案也定义了密钥证实操作,协议参与方互相确认对方已经正确获得共享私有密钥。口令鉴别密钥协商协议提供以
29、下安全属性:通过方案可以成功的产生一个共享密钥,并且不知道口令或者基于口令的值的实体无法成功执行方案;获得口令相关的公开密钥和交互中交换的任何信息不能使第三方可以验证对于口令或者口令相关值的猜测或者确定方案产生的共享密钥;一个不知道口令或者口令相关值的参与方在一次协议交互中最多只有一次机会猜测口令或者口令相关的值。本标准中的口令鉴别密钥协商方案具有以下形式的操作序列:a) 建立有效的域参数集;b) 根据域参数建立一个或者多个口令及口令相关值;c) 根据域参数为参与方选择一个有效的私有密钥;d) 使用PEPKG或者PKGP操作根据步骤c)产生的私钥建立一个或者多个公开密钥;e) 分发公开密钥给协
30、议的其他参与方;f) 获取其他参与方的公开密钥;g) 选择合适的方法验证域参数和其他参与方的公开密钥,如果无效则输出“invalid”并停止操作;h) 应用密码操作根据自己的私钥和其他参与方的公钥产生一个共享秘密值;i) 使用密钥产生函数根据步骤h)产生的秘密值和域参数产生共享密钥。8.3.2 口令鉴别密钥检索方案一个PKRS方案通过拥有口令值的客户端与至少一个拥有与相关联的秘密值的服务器端交互,最终为客户端建立一个或多个长期密钥。因为客户端通常拥有所(重新)建立的长期密钥的先验知识,因此这些密钥可以由方案检索。为了成功的执行PKRS方案,客户端仅需要拥有口令值,服务器端也仅需要拥有与相关联的
31、秘密值,而不需要知道客户端的口令值或者客户端最终获取的长期密钥。客户端通过与服务器端交互并执行密钥建立操作来检索与口令相关联的密钥。PKRS方案与PKAS方案主要有两个不同点:a) PKRS方案建立长期密钥,而PKAS方案建立的是临时密钥;b) PKRS方案为客户端建立的长期密钥对于服务器端可能是无法获取的,而PKAS方案所建立的临时密钥对于客户端和服务器端是共享的。PKRS方案和PKAS方案同样可以在多服务器端的系统中使用,客户端使用口令获取存储在各个服务器端的密钥片段并最终检索出密钥。8.4 密码函数在本标准中,在方案中还会用到散列函数、掩码生成函数和密钥证实函数。本标准建议在实现方案的过
32、程中采用这些建议的附加函数为协议增加更多的安全属性。对于采用在本标准之外定义的这些函数的情况,用户应该对实现的安全性进行分析和评估。9 原语9.1 概述在本章中,列举在本标准中使用到的原语,包括:数据类型转换原语、口令相关公开密钥生成原语、公开密钥生成原语、口令验证数据生成原语、随机元素生成原语和秘密值生成原语。本条目采用一种通用的方式对原语进行描述,而忽略它们所依赖的体制是DL还是EC,除非特别指明原语的应用环境。9.2 数据类型转换原语本条目定义数据类型转换原语,这些原语在整数、八位位组串和群元素之间进行转换。9.2.1 OS2IP对于给定的长度为k的八位位组串M,应通过以下步骤或者相当的
33、过程转换成整数i:a) 把M按字节分解为Mk-1|Mk-2|M0,其中Mk-1是最左侧的字节,M0是最右侧字节;b) 对于所有的j 0,k-1,计算i =28jMj;c) 输出i。9.2.2 I2OSP对于给定的非负整数i和目标八位位组串长度l,应通过以下步骤或者相当的过程转换成八位位组串M:a) 如果i 256l,则输出“整数过大”;b) 对于所有的j0,l -1计算mj= i mod (256j)(8 j);c) 设Mj是mj对应的字节表示,则M = Ml-1|Ml-2|M0;d) 输出M。9.2.3 I2FEP执行非负整数到有限域元素的操作的原语称为整数到域元素转换原语(I2FEP)。对
34、于给定的整数i0, q -1应该通过以下步骤或者相当的过程转换成有限域GF(q)中的元素j:a) 应用I2OSP转换i到log256(q)长度的八位位组串;b) 应用OS2FEP转换结果八位位组串到域元素j;c) 输出j。9.2.4 GE2FEP原语GE2FEP转换群元素e到有限域上的一个元素。 在离散对数体制中,由于离散对数体制中,群元素就是域元素,直接输出域元素e; 在椭圆曲线体制中:1) 如果e是无穷远点,则输出域元素0并停止;2) 否则设置域元素xe=e的x坐标;3) 输出域元素xe。9.2.5 FE2OSPFE2OSP转换有限域GF(q)中的元素e到八位位组串。 如果q为奇素数,则e
35、是区间1,q-1中的整数,则应用I2OSP转换e到八位位组串; 如果q为2m的形式,则e即是长度为的八位位组串,其中t=。9.2.6 GE2OSP 在离散对数体制中,由于在离散对数体制中,群元素就是对于域中的域元素,因此输出oe=FE2OSP(e); 在椭圆曲线体制中:1) 计算ex= GE2FEP (e);2) 输出FE2OSP(ex)。9.3 口令相关公开密钥生成原语9.3.1 PEPKGP-1DL,ECPEPKGP-1原语使用DL,EC域参数、用户私钥和口令生成一个口令相关的公开密钥。输入:a) 参与方自己的私钥;b) 基于口令的群元素m;c) 与密钥s和群元素m相关的域参数(包括g,r
36、)。假设:私钥s和域参数是有效的,群元素m生成需要的r阶群。输出:口令相关的公开密钥w。操作:a) 计算一个群元素w=(gs)*m;b) 输出w作为口令相关的公开密钥。9.3.2 PEPKGP-2DL,ECPEPKGP-2原语使用DL,EC域参数和用户私钥和口令生成一个口令相关的公开密钥。输入:a) 一个私有密钥s;b) 一个口令生成的群的生成元g;c) 与密钥s和群元素g相关的DL,EC域参数。假设:私钥s和域参数是有效的,群元素g生成需要的r阶群输出:口令相关的公开密钥w操作:a) 计算一个群元素w=gs;b) 输出w作为口令相关的公开密钥。9.3.3 PEPKGP-3-SERVER,PE
37、PKGP-4-SERVERDLPEPKGP-3,4-SERVER原语使用DL域参数和服务器的私钥和口令验证数据生成一个口令相关的公开密钥。PEPKGP-4-SERVER需要一个幂值建立函数,可选项为MVCF-1。客户应该使用和服务器相同的Mvcf和相关的参数。输入:a) 服务器的私有密钥s;b) 一个口令验证数据v,受限于口令的公开密钥;c) 与密钥s相关的DL域参数(包括gq-1和q),验证数据v。假设:私钥s、验证数据v和域参数是有效的,gq-1的阶为q-1 输出:口令相关的公开密钥ws,ws是域GF(q)的元素。操作:a) 计算域元素x=exp(gq-1,s);b) 如下方法计算域元素m
38、v;1) PEPKGP-3:mv=12) PEPKGP-4:mv=Mvcf( )c) 计算ws=(vmv+x);d) 输出ws。9.3.4 PEPKGP-5-SERVERPEPKGP-5-SERVER原语根据椭圆曲线域参数使用服务器拥有的私钥和口令验证数据生成口令相关的公开密钥,该原语在ECAPKAS-4-SERVER中使用。该原语需要一个随机元素生成函数作为参数,该参数的可选函数为ECREDP-1和ECREDP-2,并应该保证该函数与客户端的SVDP-6-CLIENT中使用的随机元素生成函数相同。输入:a) 服务器的私有密钥s;b) 一个口令验证数据v,受限于口令的公开密钥;c) 与密钥s相
39、关的EC域参数(包括g)和公开密钥v。假设:私钥s、公开密钥v和域参数是有效的。输出:口令相关的公开密钥ws。操作:a) 计算八位位组串o1= GE2OSP(v);b) 计算群元素e1 = Redp(o1);c) 计算群元素ws= (gs) *e1;d) 输出ws。9.3.5 PEPKGP-6-SERVERPEPKGP-6-SERVER原语使用DL,EC域参数和服务器私钥和客户公钥和口令验证数据生成一个口令相关的公开密钥。输入:a) 服务器的私有密钥s;b) 一个口令验证数据v,受限于口令的公开密钥;c) 客户公钥wc;d) 与密钥s,v,wc相关的EC域参数。假设:私钥s、公开密钥v和域参数
40、是有效的。输出:口令相关的公开密钥ws。操作:a) 计算八位位组串oc= GE2OSP(wc);b) 计算群元素o1 = hashWC(oc| oID);c) 计算i1= OS2IP(o1);d) 计算群元素ws= (wsi1)*v)s;e) 输出ws。9.4 公开密钥生成原语9.4.1 PKGP-1DL,ECPKGP-1是离散对数,椭圆曲线公开密钥生成原语使用实体的私钥和域变量来生成该实体的公钥。输入:a) 实体自己的私钥整数s;b) 与该私钥s相关的域变量g和r(其中r为素数,g为r的本原根)。假设:私钥和相应的域参数有效。输出:该实体的公钥w。操作:公钥w的计算要执行以下两步:a) 计算
41、公钥组元素w =gs;b) 输出w作为实体公钥。9.4.2 DLPKGP-2-CLIENTDLPKGP-2-CLIENT是离散对数公开密钥生成原语,该原语根据DL域参数和客户的私钥生成客户的公开密钥,该原语应用在DLAPKAS-2,3-CLIENT。输入:a) 客户的私钥(整数)s;b) 与密钥s相关的DL域参数(包括gq-1和q)。假设:私钥s、验证数据v和域参数是有效的,gq-1的阶为q-1 。输出:公开密钥wc,其中wc是GF(q)中的非零元素。操作:a) 计算域元素wc=exp(gq-1,s);b) 输出wc。9.5 口令验证数据生成原语9.5.1 PVDGP-1DL,ECPVDGP-
42、1原语根据域参数和参与方的口令生成口令验证数据,该原语在DL,ECAPKAS-1-CLIENT和 DL,ECAPKAS-5-CLIENT中用来生产口令限制的私钥,在DL,ECAPKAS-1-SERVER和 DL,ECAPKAS-5-SERVER中用来生成口令验证数据。该原语需要一个随机元素生成函数和一个散列函数作为参数,其中随机元素生成函数的可选项为DL,ECREDP-1和DL,ECREDP-2,散列函数的选择项为11.1中定义的散列函数和MGF1。输入:a) 八位位组串口令;b) DL,EC域参数。输出:口令限制的私钥u和口令验证数据,口令验证数据包括阶为r的生成元g和口令限制的公钥v。操作
43、:a) 计算八位位组串o = hash();b) 计算私钥(整数)u= OS2IP(o)mod r;c) 计算元素g= Redp(o);d) 计算群元素v= gu;e) 输出u和口令验证数据(g,v)。9.5.2 DLPVDGP-2,PVDGP-3DLPVDGP-1原语根据DL域参数和参与方的口令生成口令验证数据和其它相关值,该原语在DLAPKAS-2,3-CLIENT中用来生产口令限制的私钥,在DLAPKAS-2,3-SERVER中用来生成口令验证数据。在原有DLPVDGP-3中需要一个散列函数作为参数,其中散列的选择项为11.1中定义的散列函数和MGF1。输入:a) 八位位组串口令;b)
44、与口令相关的DL域参数(包括gq-1和q)。输出:口令限制的私钥u和口令验证数据,口令验证数据包括口令限制的公钥v。操作:a) 计算八位位组串o:1) PVDGP-2:o= SHA-1();2) PVDGP-3:o= hash();b) 计算DL私钥(整数)u= OS2IP(o)mod r;c) 计算口令限制公开密钥v= exp(gq-1,u);d) 输出u和口令验证数据v。9.5.3 ECPVDGP-4ECPVDGP-4原语根据域参数和参与方的口令生成口令验证数据,该原语在ECAPKAS-4-CLIENT中用来生产口令限制的私钥,在ECAPKAS-4-CLIENT中用来生成口令验证数据。该原
45、语需要一个随机元素生成函数和一个散列函数作为参数,其中随机元素生成函数的可选项为DL,ECREDP-1和DL,ECREDP-2,散列函数的选择项为11.1中定义的散列函数和MGF1。输入:a) 八位位组串口令;b) 与口令相关的椭圆曲线域参数(包括g和r)。输出:口令限制的私钥u和口令验证数据,口令验证数据包括口令限制的公钥v。操作:a) 计算八位位组串o= hash();b) 计算私钥(整数)u= OS2IP(o)mod r;c) 计算元素g= Redp(o);d) 计算群元素v= gu;e) 输出u和口令验证数据v。9.5.4 PVDGP-5PVDGP-5原语根据域参数和参与方的口令生成口令验证数据,该原语在APKAS-6-CLIENT中用来生成口令限制的私钥,在APKAS-6-SERVER中用来生成口令验证数据。